Aumentan las detecciones de ClipBanker en España, una amenaza que roba criptomonedas.

Las importantes subidas del valor de las criptomonedas (aunque con bajadas también importantes recientemente) ha vuelto a hacer que resurjan amenazas especializadas en robarlas a sus dueños legítimos. Si bien este tipo de amenazas no son una novedad, sí que observamos un aumento de las mismas cuando el valor de criptodivisas como el Bitcoin alcanza máximos, algo que vimos hace unos años y que volvemos a observar ahora.

Pico de detecciones

A la hora de revisar cuáles son las tendencias del malware en cada país podemos basarnos en algunos indicadores como el tipo de amenazas detectadas por los sensores que empresas de ciberseguridad como ESET tienen implementados por todo el mundo. Esto permite tener una visión aproximada de lo que sucede en cada país, algo que podemos revisar a diario con servicios como el que proporciona Virus Radar.

Si nos fijamos en la información proporcionada por este servicio, en lo que se refiere a España observamos como las amenazas principales siguen siendo los ataques remotos que intentan acceder a redes corporativas mediante protocolos como RDP, seguidos de varios casos de publicidad no deseada en navegadores. No obstante, en los últimos días hemos observado un pico de detecciones en una amenaza en concreto, de nombre MSIL/ClipBanker, que si bien ha ido incrementando su actividad desde finales de 2020 (coincidiendo con el aumento del valor de las criptomonedas) esta semana ha llegado a colarse en el top diez de amenazas más detectadas en España.

Este aumento en las detecciones de ClipBanker se puede observar más visualmente en el siguiente gráfico histórico, donde observamos que el pico de detecciones a nivel global es el más alto desde al menos agosto de 2018. Cabe destacar que si bien el porcentaje de detecciones a nivel mundial de esta amenaza no es especialmente elevado, en España ha llegado a alcanzar una cifra más elevada, representando el 3% de las amenazas detectadas por las soluciones de seguridad de ESET durante el pasado 24 de mayo.

Para que quede aún más claro, en el siguiente mapa podemos ver como, del total de detecciones de esta amenaza detectadas durante el último mes, España es, con diferencia, el país donde más muestras de este malware se ha observado, muy probablemente debido al pico de detecciones del pasado día 24.

¿Cómo funciona esta amenaza?

A pesar de que las amenazas relacionadas con criptomonedas llevan muchos años entre nosotros y los delincuentes han demostrado bastante ingenio a la hora de robarlas, esto no siginifica que estas deban ser complejas. De hecho, si recordamos la investigación sobre el malware ClipBanker realizada por investigadores de ESET a principios de 2018 veremos como buena parte de su éxito se basaba en troyanizar aplicaciones legítimas y, una vez estas han sido instaladas en el sistema de la víctima, modificar las direcciones de billeteras de criptomonedas que se copian al portapapeles para cambiarlas por otras controladas por los delincuentes.

De esta forma, tal y como se observa en el vídeo mostrado a continuación, observamos como, a menos que el usuario se fije detenidamente a la hora de copiar la dirección de la billetera de criptomonedas, es muy fácil que no se dé cuenta de que esta dirección se ha cambiado al vuelo, terminando la transferencia en una billetera controlada por los delincuentes.

Inicialmente, ClipBanker tuvo su periodo de apogeo en 2018, coincidiendo con otra escalada en el valor de las criptomonedas. Sin embargo, en esa ocasión los delincuentes no obtuvieron un éxito destacable según los datos que pudieron recopilar los investigadores de ESET que le siguieron la pista. Esta vez es posible que los delincuentes estén probando suerte de nuevo, por lo que, conociendo su forma habitual de actuación, es importante que tengamos cuidado con la descarga de aplicaciones desde repositorios no oficiales, especialmente si somos poseedores de billeteras de criptomonedas como Bitcoin, Dogecoin, Ethereum o Ripple.

Conclusión

El reciente pico de detección de esta amenaza, aunque sea en una cantidad menor que otras amenazas, puede representar que se esté realizando algún tipo de campaña por parte de los delincuentes dirigida a aquellos usuarios que se han introducido recientemente en el mundo de las criptomonedas y no cumplan con unos requisitos mínimos de seguridad. Por ese motivo es importante contar con una solución que sea capaz de detectarla si no queremos ver como nuestras criptodivisas desaparecen al realizar transferencias entre billeteras, sin que nos demos cuenta hasta que ya es demasiado tarde.

Josep Albors

Las 5 principales ciberamenazas a las que se enfrentan las empresas y 7 consejos para evitarlas